新攻撃手法「FileFix」： Windowsのファイルエクスプローラーを武器化するClickFixの亜種を研究者が考案

佐々山 Tacos

2025.06.25

新攻撃手法「FileFix」： Windowsのファイルエクスプローラーを武器化するClickFixの亜種を研究者が考案

BleepingComputer – June 24, 2025

脅威アクターたちから人気のソーシャルエンジニアリング手法「ClickFix」のアレンジバージョン「FileFix」を、セキュリティ研究者のmr.d0xが考案。これは、Windowsの「ファイルエクスプローラー」を通じて悪意あるコマンドを実行させるものだという。

ClickFixとは、ユーザーを偽のCAPTCHAやエラー画面を使って騙し、問題修正（”Fix”）のためと称して有害コマンドを実行するよう誘導するブラウザベースの攻撃。ターゲットユーザーはWindowsキーとRキーを押して「ファイル名を指定して実行」ダイアログを開かせられ、そこへクリップボードにコピーされていたコマンドをペーストするよう仕向けられる。

一方でFileFixも同様に、ユーザーを欺いて悪意あるコマンドを実行させることを目指すが、使用するのはユーザーにとってより馴染みのあるファイルエクスプローラーのインターフェース。ファイルエクスプローラーのアドレスバーはOSコマンドを実行可能であることを踏まえ、mr.d0x氏はこの性能とブラウザのファイルアップロード機能を組み合わせてかなりもっともらしいフィッシングシナリオを編み出すことに成功したという。

ClickFixでは偽のエラーや技術的問題などがルアーとして用いられるのが一般的だが、mr.d0x氏が考案したFileFixのルアーはターゲットユーザーにファイルが共有されて利用可能になった旨を伝える通知として出現。当該ファイルの場所を特定するためとして有害なパスをコピーさせ、ファイルエクスプローラーのアドレスバーにペーストさせることを目指す。具体的には、フィッシングプロンプトを提示して以下の3つのステップに従うよう指示する：

①次のファイルパスをコピーしてください：C:\company\internal-secure\filedrive\HRPolicy.docx

②ファイルエクスプローラーを開いてアドレスバーを選択してください（CTRL + L）

③ファイルパスをペーストしてEnterを押してください

上記の指示の下には「Open File Explorer（ファイルエクスプローラーを開く）」というボタンが用意されており、これをユーザーがクリックするとファイルアップロード機能を介してファイルエクスプローラーが起動する仕組みになっている。コピー・ペーストされる有害なPowerShellコマンドではコメントの後にダミーのファイルパスが連結されているため、アドレスバー内ではファイルパスしか存在しないように見え、有害なPowerShellコマンドを隠すことが可能になっているという。

FileFixは、コマンドの実行場所をユーザーにとってより親しみのある環境へと移すことで、ClickFixをより効果的なものにできる可能性を示している。mr.d0x氏は、非常にシンプルな手法であることや、よく知られたWindowsのユーティリティを利用するものであることを踏まえ、FileFix攻撃はまもなく脅威アクターたちに取り入れられ始めるだろうと考えているという。なおこれまでにも、同氏考案のフィッシングテクニック（ブラウザ・イン・ザ・ブラウザ攻撃）はサイバー犯罪者たちにすばやく採用されていた。FileFixのPoCコードは、同氏のブログ記事内で共有されている。